返回
华为双出口网络解决方案配置指导命令详解

华为双出口网络解决方案配置指导命令详解

ID:45241746

大小:275.27 KB

页数:56页

时间:2019-11-11

华为双出口网络解决方案配置指导命令详解_第1页
华为双出口网络解决方案配置指导命令详解_第2页
华为双出口网络解决方案配置指导命令详解_第3页
华为双出口网络解决方案配置指导命令详解_第4页
华为双出口网络解决方案配置指导命令详解_第5页
资源描述:

《华为双出口网络解决方案配置指导命令详解》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、华为3COM网吧网络解决方案之网关配置指导好网吧好网络——华为3COM网吧网络解决方案之网关配置指导——华为三康技术有限公司Huawei-3ComTechnologiesCo.,Ltd.第56页,共56页华为3COM网吧网络解决方案之网关配置指导目录第一部分配置原则概述41需要注意的配置事项41.1配置ACL对非法报文进行过滤41.1.1进行源IP和目的IP过滤41.1.2限制ICMP报文61.1.3限制netbios协议端口61.1.4限制常见病毒使用的端口71.1.5关闭没有使用的端口81.

2、2NAT配置注意事项81.3路由配置注意事项81.4进行IP-MAC地址绑定91.5限制P2P应用(根据实际情况可选)91.5.1通过ACL限制端口91.5.2结合QOS和ACL限制端口流量101.5.3限制单机的NAT会话数121.5.4在客户机上通过软件限制122附:限制常见P2P软件端口的ACL12第二部分典型配置实例131单出口典型配置131.1局域网内的主机地址是私网IP地址131.2局域网内的主机地址是公网IP地址202双出口链路备份典型配置282.1两条链路都是以太网链路的情况28

3、2.2两条链路是以太网链路+PPPOE链路的情况373双出口同时实现负载分担和链路备份典型配置46第56页,共56页华为3COM网吧网络解决方案之网关配置指导第一部分配置原则概述随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多

4、、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。1需要注意的配置事项1.1配置ACL对非法报文进行过滤ACL是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。1.1.1进行源IP

5、和目的IP过滤至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP38(BestCurrentPractice)中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。例如:假设局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30,在局域

6、网接口可以设置:第56页,共56页华为3COM网吧网络解决方案之网关配置指导aclnumber3003rule2000permitipsource192.168.1.00.0.0.255rule3000denyip在广域网接口可以设置:aclnumber3001rule2000permitipdestination162.1.1.00.0.0.3rule2001permitipdestination192.168.1.00.0.0.255rule3000denyip在广域网接口也可以通过静态包过

7、滤结合ASPF进行更精确的包过滤和攻击防范。例如:#aclnumber3011rule160permiticmpicmp-typeechorule161permiticmpicmp-typeecho-replyrule162permiticmpicmp-typettl-exceededrule206permittcpdestination-porteqtelnetrule3000denyip#interfaceEthernet1/0ipaddress172.30.79.6255.255.255.

8、252firewallpacket-filter3011inboundfirewallaspf1outbound#第56页,共56页华为3COM网吧网络解决方案之网关配置指导注意事项:由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。1.1.2限制ICMP报文ICMP报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。